Wersja DPA-2026-05-09 · obowiązuje od 9 maja 2026

Umowa Powierzenia Przetwarzania Danych (DPA)

Niniejsza Umowa Powierzenia (dalej „DPA") stanowi integralną część umowy o świadczenie usługi Sunrise Studio i obowiązuje automatycznie od momentu akceptacji Regulaminu przez Klienta. Sporządzona zgodnie z art. 28 RODO.

Pobierz wersję PDF do podpisu: sunrise-dpa-2026-05.pdf

§1. Strony i role

  • Administrator - Klient (Twoja firma korzystająca ze Studia). Określa cele i sposoby przetwarzania danych swoich klientów końcowych.
  • Procesor - Sunrise sp. z o.o., NIP 0000000000, Nowy Tomyśl. Przetwarza dane na polecenie Administratora wyłącznie w zakresie świadczenia usługi.

§2. Zakres przetwarzania

ElementTreść
PrzedmiotŚwiadczenie usługi SaaS Sunrise Studio
Czas trwaniaCały okres umowy + 30 dni na eksport danych
CharakterPrzechowywanie, organizowanie, segregowanie, modyfikowanie, wyświetlanie, usuwanie
CelRealizacja umowy SaaS - bez tego usługa nie może być świadczona
Rodzaj danychDane identyfikacyjne (imię, nazwisko, email, telefon), dane operacyjne (treść kampanii, posty, zamówienia), dane finansowe (faktury bez numerów kart)
Kategorie osóbKlienci końcowi Klienta (osoby fizyczne, kontakty CRM, kupujący w sklepie)

§3. Obowiązki Procesora

Sunrise jako Procesor zobowiązuje się do:

  1. przetwarzania danych wyłącznie na udokumentowane polecenie Administratora (Regulamin + konfiguracja konta);
  2. zapewnienia, że osoby upoważnione do przetwarzania zobowiązały się do zachowania tajemnicy lub podlegają obowiązkowi tajemnicy ustawowej;
  3. wdrożenia odpowiednich środków technicznych i organizacyjnych (art. 32 RODO) - szczegóły w Załączniku 1: TOM;
  4. przestrzegania warunków korzystania z usług dalszych podmiotów przetwarzających (subprocesorów) - lista podprocesorów;
  5. pomocy Administratorowi w realizacji żądań osób, których dane dotyczą;
  6. pomocy w wypełnianiu obowiązków bezpieczeństwa, zgłaszania naruszeń (art. 33-34) i ocen skutków (art. 35-36);
  7. po zakończeniu umowy - zwrotu lub usunięcia danych zgodnie z wyborem Administratora, z wyłączeniem danych objętych retencją prawną (faktury 5 lat).

§4. Naruszenia bezpieczeństwa

Sunrise zgłasza Administratorowi każde naruszenie ochrony danych w terminie nie dłuższym niż 24 godziny od jego stwierdzenia. Zgłoszenie zawiera:

  • opis charakteru naruszenia (kategorie i orientacyjna liczba osób)
  • imię i kontakt do IOD lub innej osoby kontaktowej
  • opis możliwych konsekwencji
  • opis środków zastosowanych lub proponowanych w celu zaradzenia

§5. Podprocesorzy

Administrator wyraża ogólną zgodę na korzystanie z dalszych podmiotów przetwarzających. Sunrise informuje o nowych podprocesorach z 30-dniowym wyprzedzeniem przez email - Administrator ma prawo wnieść uzasadniony sprzeciw.

Aktualna lista podprocesorów (stan na 2026-05-09):

PodmiotKrajCelPodstawa transferu
Stripe Payments Europe Ltd.IrlandiaPłatności, fakturyUE
Stripe Inc.USABackend płatnościSCC + DPF
Anthropic PBCUSAAI (Claude) - generowanie treściSCC + DPF
OpenAI Inc.USAAI (Sora 2) - generowanie wideoSCC + DPF
Cloudflare Inc.USA / UEStorage R2, CDN, securitySCC + DPF
Supabase Inc. (eu-central-1)NiemcyHosting bazy PostgreSQLUE
Sendinblue SA (Brevo)FrancjaEmail + SMSUE
SMSAPI sp. z o.o.PolskaSMS marketingowe (rynek PL)UE
Functional Software, Inc. (Sentry)USAMonitoring błędówSCC
Vercel Inc.USAHosting frontenduSCC + DPF

§6. Środki techniczne i organizacyjne (TOM)

6.1 Środki techniczne

  • Szyfrowanie w tranzycie: TLS 1.3, HSTS preload, certyfikaty Let's Encrypt
  • Szyfrowanie w spoczynku: dane w bazie - encryption at rest (Supabase), tokeny OAuth - AES-256-GCM
  • Hasła użytkowników: Argon2id (memory=64MB, iterations=3, parallelism=4)
  • Multi-tenant izolacja: Row Level Security (RLS) na poziomie PostgreSQL
  • Backupy: pg_dump 24h + Point-in-Time Recovery 7 dni
  • Bezpieczne ENV: secrety nie są w repozytorium, rotacja kluczy co 90 dni

6.2 Środki organizacyjne

  • Polityka kontroli dostępu (RBAC) z zasadą najmniejszych uprawnień
  • 2FA TOTP obowiązkowe dla wszystkich pracowników z dostępem do produkcji
  • Audit log każdej operacji administracyjnej (append-only, 365 dni)
  • Regularny pentest zewnętrzny (raz do roku) + bug bounty program
  • Skanowanie zależności (npm audit + Dependabot) w CI
  • Szkolenia RODO dla pracowników - co 12 miesięcy
  • Procedura zgłaszania incydentów (24/7 mailem na bezpieczenstwo@sunrise.pl)

§7. Audyt

Administrator ma prawo do przeprowadzenia audytu Sunrise (samodzielnie lub przez upoważnionego audytora), nie częściej niż raz na 12 miesięcy. Powiadomienie o audycie należy przesłać z 30-dniowym wyprzedzeniem. Sunrise udostępnia raporty z audytów zewnętrznych (SOC 2, jeśli posiada) w zastępstwie audytu na miejscu.

§8. Eksport danych

Administrator może w każdej chwili wykonać pełny eksport danych przez Ustawienia → Konto → Eksport danych. Eksport zawiera wszystkie dane w formacie JSON zgodnym z RODO art. 20 (przenoszenie). Po rozwiązaniu umowy Administrator ma 30 dni na pobranie eksportu, po czym dane są usuwane lub pseudonimizowane.

§9. Postanowienia końcowe

  1. Niniejsza DPA stanowi załącznik do Regulaminu i umowy SaaS.
  2. Zmiany DPA wymagają formy pisemnej (email kwalifikowany).
  3. W zakresie nieuregulowanym stosuje się RODO i prawo polskie.
  4. Sunrise wyznaczył Inspektora Ochrony Danych: iod@sunrise.pl

Akceptując Regulamin Sunrise Studio podczas rejestracji, akceptujesz również powyższą Umowę Powierzenia w jej aktualnej wersji. Archiwum poprzednich wersji DPA.